2.2 信息泄露事件及危害

隨著互聯網的不斷發展，個人生活與互聯網已經密不可分，幾乎日常的一切活動都與網絡息息相關。由于網絡具有巨大的存儲能力，用戶在互聯網的全部活動都會留下記錄，致使攻擊者可以通過技術手段對這些數據進行追蹤和還原。

在如此背景下，隱私信息泄露事件就變得異常普遍，2016年全球發生逾3000起公開的數據泄露事件，近22億條記錄被披露。截至2018年8月統計數據表明，世界各地深受數據泄露事件的困擾，已造成數以億萬美元計的損失。據《2018數據泄露損失研究》評估顯示，大型數據泄露代價高昂，百萬條記錄可致損失4000萬美元，5000萬條記錄可致損失3.5億美元。遭遇數據泄露事件的企業平均損失386萬美元，同比2017年增加了6.4%。

以下是ITPUB技術論壇整理的2018年上半年發生的10起國內外影響最大的數據泄露事件[3]，其影響和危害可見一斑。

1．Aadhaar

泄密數量：10億條

事件時間：2018年1月3日

事件回顧：

2018年1月，印度10億公民身份數據庫Aadhaar被曝遭網絡攻擊，該數據庫除了名字、電話號碼、郵箱地址等，還有指紋、虹膜等極度敏感的信息。

印度Tribune報道指出，攻擊者通過一個WhatsApp匿名群組，花500盧比就能獲得訪問該數據庫的一個賬號。通過輸入任何一個Aadhaar號碼（每個印度公民都擁有的12位的唯一標識符），可檢索印度唯一身份識別管理局（UIDAI）存儲的關于被查詢公民的諸多類型的信息。這些數據包括姓名、住址、照片、電話號碼和電子郵箱地址。在向賣家額外支付300盧比的費用后，任何人都可以通過該軟件打印某個Aadhaar號碼歸屬者的身份證。

2．Facebook

泄密數量：超過8700萬條

事件時間：2018年3月17日

事件回顧：

2018年3月，一家名為Cambridge Analytica的數據分析公司通過一個應用程序收集了5000萬Facebook用戶的個人信息，該應用程序詳細描述了用戶的個性、社交網絡，以及其在平臺上的參與度。盡管Cambridge Analytica公司聲稱公司只擁有3000萬用戶的信息，但經過Facebook的確認，這個估計實際上很低。同年4月，該公司通知了在其平臺上的8700萬用戶，他們的數據已經遭到泄露。

隨著對Facebook應用程序更深入的審查，Cambridge Analytica丑聞只是冰山一角。2018年6月27日，安全研究員Inti DeCeukelaire透露另一個名為Nametests.com的應用程序已經泄露了超過1.2億用戶的信息。

3．Panera

泄密數量：3700萬條

事件時間：2018年4月2日

事件回顧：

2018年4月2日，安全研究員Dylan Houlihan聯系了調查信息安全的記者Brian Krebs，向記者講述了他在2017年8月向Panera Bread報告的一個漏洞。該漏洞導致panerabread.com以明文泄露客戶記錄，這些數據可以通過自動化工具進行抓取和索引。Houlihan試圖向Panera Bread報告這個漏洞，但他的報告被駁回了。在此后的8個月里，Houlihan每個月都會檢查一次這個漏洞，直至最終向記者Krebs披露。隨后，Krebs在他的博客上公布了這些細節。在Krebs的報告發布后，Panera Bread暫時關閉了網站。

盡管該公司最初試圖淡化此次數據泄露事件的嚴重程度，并表示受到影響的客戶不到1萬人，但真實數字可能高達3700萬人。

4．Under Armour

泄密數量：1.5億條

事件時間：2018年3月25日

事件回顧：

2018年3月25日，美國著名運動裝備品牌Under Armour稱有1.5億MyFitnessPal用戶數據被泄露了，MyFitnessPal是Under Armour旗下的一款食物和營養主題應用App，可以跟蹤用戶每天消耗的熱量，并可以設置運動目標、集成來自其他運動設備的數據、分享運動成果到社交平臺，廣受歡迎。

據該公司稱，此次數據泄露事件影響的用戶數據包括用戶名、郵箱地址和加密的密碼，但并沒有涉及用戶的社會安全號碼（Social Security Numbers）、駕駛證號和銀行卡號等隱私信息。

5．MyHeritage

泄密數量：超過9200萬條

事件時間：2018年6月4日

事件回顧：

2018年6月4日，MyHeritage的安全管理員收到一位研究人員發來的消息稱，其在該公司外部的一個私有服務器上發現了一份名為Myheritage 的文件，里面包含了9228萬個MyHeritage賬號的電子郵件地址和加密密碼。在檢查文件后，MyHeritage的安全管理員確認該文件中包含了在2017年10月26日之前已注冊MyHeritage的所有用戶的電子郵箱地址。

隨后該公司發布的一份聲明稱，由于MyHeritage依賴第三方服務提供商來處理會員的付款，黑客破解了密碼機制，獲得哈希密碼，但不包含支付信息。服務商將家譜和DNA數據存儲在與存儲電子郵箱地址的服務器不同的服務器上，該公司表示，沒有證據表明文件中的數據被黑客利用。

6．Ticketfly

泄密數量：超過2700萬條

事件時間：2018年6月3日

事件回顧：

2018年5月31日，美國票務巨頭Ticketfly遭遇黑客攻擊勒索，導致音樂會和體育賽事票務網站遭到破壞，并離線和中斷一周。據報道，此次攻擊事件背后的黑客先是警告Ticketfly存在一個漏洞，并要求其支付贖金。當遭到Ticketfly的拒絕后，黑客劫持了Ticketfly網站，替換了它的主頁。

據黑客IsHaKdZ表示，他手中擁有完整的數據庫，里面包含2700萬個Ticketfly賬戶相關信息（如姓名、家庭住址、電子郵箱地址和電話號碼等，涉及員工和用戶）。

7．Sacramento Bee

泄密數量：1945.3萬條

事件時間：2018年6月7日

事件回顧：

2018年2月，一名匿名攻擊者截獲了由Sacramento Bee擁有并運營的兩個數據庫。其中一個IT資產包含加利福尼亞州州務卿提供的加州選民登記數據，另一個則存儲了用戶為訂閱該報刊而提供的聯系信息。在截獲了這些資源之后，攻擊者要求支付贖金以換取重新獲得對數據的訪問權限。Sacramento Bee最終拒絕了這一要求，并刪除了數據庫，以防將來這些數據庫再被利用來進行其他更多的攻擊。

根據Sacramento Bee的說法，這起黑客攻擊事件共泄露了5.3萬名訂閱者的聯系信息，以及1940萬名加州選民的個人數據。

8．AcFun

泄密數量：800萬條

事件時間：2018年6月14日

事件回顧：

2018年6月14日凌晨，國內著名彈幕視頻網站AcFun（A站）在官網發布《關于AcFun受黑客攻擊致用戶數據外泄的公告》稱，該網站曾遭遇黑客攻擊，近千萬條用戶數據已發生外泄，其中包括用戶ID、網名，以及加密存儲的密碼等數據。

其實在當年3月，在暗網論壇中就有人公開出售AcFun的一手用戶數據，數量高達800萬條，價格僅為12000元，平均1元能買到800條。而在AcFun發布此次數據泄露公告之前，暗網中也早有人兜售AcFun的Shell和內網權限，主要賣點就是數據量大、日流量高。

9．圓通

泄密數量：10億條

事件時間：2018年6月19日

事件回顧：

2018年6月19日，一位ID為“f666666”的用戶在暗網上開始兜售圓通10億條快遞數據，該用戶表示售賣的數據為2014年下旬的數據，數據信息包括寄（收）件人姓名、電話、地址等信息，10億條數據已經經過去重處理，數據重復率低于20%，以1比特幣打包出售。

該用戶還支持對數據真實性進行驗貨，但驗貨費用為0.01比特幣（約合431.98元），驗貨數據量為100萬條。此驗貨數據是從10億條數據里隨機抽選的，每條數據完全不同，也就是說，用戶只要花430元人民幣即可購買到100萬條圓通快遞的個人用戶信息，而購買10億條數據則需要花費43198元人民幣。

10．華住旗下多個連鎖酒店開房信息

泄密數量：5億條

事件時間：2018年8月28日

事件回顧：

華住旗下多個連鎖酒店開房信息數據正在暗網出售，受到影響的酒店，包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等連鎖酒店，泄露數據總數近5億條。

從網絡上流傳的截圖可以看出，黑客出售的數據信息如下，其中幾大數字需要引起我們高度注意。

? 華住官網注冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共53 GB，大約1.23億條記錄。

? 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部ID號，共22.3 GB，約1.3億人身份證信息。

? 酒店開房記錄，包括內部ID賬號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID賬號、房間號、消費金額等，共66.2 GB，約2.4億條記錄。數據之齊全，令人咋舌。

發帖人聲稱，所有數據脫庫時間是8月14日，每部分數據都提供10000條測試數據。所有數據打包售賣8比特幣，按照當天匯率約合37萬元人民幣。而經過媒體報道之后，該發帖人稱要減價至1比特幣出售。

據研究人員表示，此次泄露是由華住公司程序員將數據庫連接方式及密碼上傳到GitHub導致的。數據庫信息是20天前傳到了GitHub上，黑客脫庫是在14天前，黑客很可能是利用此信息實施攻擊并脫庫。

用戶的隱私信息一旦被泄露，通常會帶來多方面的損失。首先，隱私信息泄露會給當事人的個人生活帶來困擾。這其中既有由于單個網絡服務出現問題導致的信息泄露，也有針對個人用戶更為嚴重的隱私泄露威脅。其次，個人隱私泄露很容易升級為針對個人的違法侵害，如惡意廣告和詐騙活動等。

據北京多個派出所的綜合統計，近年來接報的電信詐騙案件數量約占立案總數的1/3，是當前比例最高的發案類型，而此類詐騙通常采用以下手段。

? 用戶個人或社交信息泄露后，犯罪分子冒充公檢法機關、郵政、電信、銀行、社保等部門的工作人員或親友等實施詐騙。

? 用戶購物信息泄露后，不法分子冒充賣家進行詐騙。

? 用戶電話、QQ、微信或郵箱等通信方式泄露后遭遇中獎詐騙。

? 用戶尋求工作信息泄露后收到虛假招聘信息。

? 用戶交友信息泄露后遭到網絡交友詐騙。

? 家庭信息泄露后遭受綁架詐騙。

這些詐騙案件通常是基于已獲得的用戶隱私信息設計的針對性欺騙方案，具有極大的迷惑性。

此外，隱私泄露還可能導致更加嚴重的犯罪活動，如冒用他人身份信息進行非法活動，利用他人銀行卡信息進行洗錢等犯罪活動。

泄露的隱私數據會成為黑客攻擊的素材，不僅被用作交易而廣泛傳播，還會被黑客用于社會工程學攻擊（指利用社會工程學手法進行的攻擊，詳見第4章），從而在后續攻擊中起重要作用。例如，黑客通過收集用戶的姓名、電話號碼、生日、郵箱地址等私人信息構建破解所需的字典表，通過用戶的生活、工作信息構建欺騙郵件等。

因此，無論是對于個人層面還是單位、機構、國家等層面，都應該重視和切實采取措施提高隱私保護的能力，提高網絡安全意識。由于網絡空間安全的復雜性，信息存儲和使用的方法多種多樣，責任主體也不盡相同，攻擊手段更是千變萬化，難以通過一套通用的過程保護信息，所以必須針對不同場景設計不同的保護方法[4]。提高網絡安全意識，保護個人隱私不僅需要用戶提高隱私保護的能力，也需要提供網絡服務的企業在研究技術時考慮隱私保護的需求。針對網絡安全意識領域而言，無論是何種機構的業務關系總是交由不同崗位的人員進行操作，因此，提升不同崗位人員的網絡安全意識，提升個人在網絡空間中隱私保護的能力則顯得尤為重要。